通关地址:http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/index.php
题目描述:小明设计了一个网站,因为总是遭受黑客攻击后台,所以这次他把后台放到了一个无论是什么人都找不到的地方....可最后还是被黑客找到了,并被放置了一个黑页,写到:find you ,no more than 3 secs!
首先看题目描述里面提到了后台,打开网址后如下:
那就先用御剑工具扫描一下后台:
发现隐藏的后台信息名字为robots.txt,是robots协议没跑了,打开后页面内容如下:
不是很熟悉robots协议先了解了解:
User-agent:指定对哪些爬虫生效
User-agent: Googlebot //google网页搜索爬虫的User-agent为Googlebot,这条规则指定google的爬虫生效。
User-agent: * //指定所有的爬虫生效
Disallow:指定要屏蔽的网址
Disallow: / //屏蔽整个网站
Disallow: /无用目录名/ //屏蔽某一目录以及其中的所有内容
Disallow: /网页.html //屏蔽某个具体的网页
Sitemap:爬虫会通过网页内部的链接发现新的网页,但是如果没有链接指向的网页怎么办?或者用户输入条件生成的动态 网页怎么办?能否让网站管理员通知搜索引擎他们网站上有哪些可供抓取的网页?这就是sitemap。
Crawl-delay:控制爬虫抓取的速率
Crawl-delay: 5 //本次抓取后下一次抓取前需要等待5秒
所以在这道题中,后台屏蔽了目录:/9fb97531fe95594603aff7e794ab2f5f/ 那就不妨去看看里面有什么?
看到如上图所示的提示,按照他说的转到login page:http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/login.php
成功拿到flag:
